Das Schlimmste scheint zwar überstanden zu sein, allerdings haben noch nicht alle Betroffenen reagiert. Security-Experte: "Es muss ein Umdenken beim Thema Sicherheit stattfinden." [...]
Heartbleed gilt als eine der gravierendsten Sicherheitslücken in der Geschichte des Internets. Rund einen Monat danach scheint die Gefahr zwar gebannt zu sein, doch die Lücke war nicht nur gravierend, sondern hat auch weitreichende Folgen für die Betroffenen. Der Fehler in der Kryptographiesoftware OpenSSL war zwar schnell behoben, doch nur die fehlerhafte Software auszutauschen, reicht nicht. Denn über den Heartbleed-Fehler lassen sich die privaten kryptographischen Schlüssel auslesen. Die wiederum werden in Zertifikate integriert. Die Zertifikate werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren. Die Administratoren betroffener Webseiten oder E-Mail-Anbieter müssen demnach zunächst die fehlerhafte OpenSSL-Software austauschen, neue Schlüssel und damit neue Zertifikate erstellen. Der Aufwand ist also nicht unerheblich, denn schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden.
NEUE SICHERHEITSSTRATEGIEN
„Die Sicherheitsstrategien in den Unternehmen und Organisationen müssen grundlegend überdacht werden“, sagt Joe Pichlmayr, Geschäftsführer von Ikarus Security Software gegenüber der COMPUTERWELT. „Prävention allein reicht nicht mehr aus, man muss Maßnahmen ergreifen, um einen Angriff frühzeitig zu erkennen und dagegen vorgehen zu können.“ Die Entwicklung gehe so schnell und dynamisch voran, dass es unmöglich sei, einen hochqualitativen Angriff abzuwehren, so Pichlmayr, „aber je früher man das Problem erkennt, desto früher kann man darauf reagieren“. Aber die „Technikgläubikeit“ und das Vertrauen in die Sicherheit seien hoch und „die hundertprozentige Sicherheit“ gebe es nicht. Man müsse das Bewusstsein steigern und umfassende Sicherheitsstrategien entwickeln, was laut Pichlmayr im Übrigen für die gesamte IKT-Branche gelte: „Der Wert der Branche wird nicht wirklich wahrgenommen.“ Es gebe zwar den Drang, alles mit IT zu optimieren, man stelle aber immer weniger Ressourcen dafür zur Verfügung und „das wird auf Dauer nicht gut gehen“, so Pichlmayr.
NOCH VIELE SEITEN BETROFFEN
Eine Studie des österreichischen COMET-Kompetenzzentrums SBA Research hat aufgrund der weiterhin aktuellen Bedrohungslage durch die Heartbleed-Schwachstelle eine Analyse über die Behebung dieser Schwachstelle hierzulande durchgeführt. Für die Administratoren der betroffenen Server sei es, wie vorher bereits erwähnt, nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch die Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern. Letzteres wurde in dieser Studie überprüft. SBA Research kam zum Ergebnis, dass viele der am 9. April betroffenen, aktiven österreichischen Seiten (503 IP-Adressen) die SSL-Zertifikate entweder gar nicht (etwa 65 Prozent) oder ohne Neugenerierung der kryptografischen Schlüssel (etwa sechs Prozent) aktualisiert haben. Von jenen 35 Prozent also, die das SSL-Zertifikat erneuert haben, hat in etwa jeder fünfte Administrator falsche Maßnahmen getroffen. Das bedeutet, dass zwar ein neues SSL-Zertifikat erstellt wurde, jedoch das alte Schlüsselpaar wiederverwendet wurde. „Da die Heartbleed-Lücke ein Auslesen des privaten Schlüssels ermöglicht, ist es unerlässlich, auch das Schlüsselpaar neu zu generieren“, so SBA Research in einer Aussendung. Insgesamt sind also noch mehr als zwei Drittel der Server von den Auswirkungen von Heartbleed betroffen, obwohl bei vielen davon die betroffene Software aktualisiert wurde. SBA Research empfiehlt, die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials zu überprüfen. (cb/idg)
Be the first to comment